Verschlüsselung

In Speech-to-Text werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Speech-to-Text durchgeführt. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Speech-to-Text verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu steuern und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Speech-to-Text-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Informationen zu den spezifischen Vorteilen von CMEKs mit Speech-to-Text-Ressourcen finden Sie unter Informationen zu CMEK für Speech-to-Text-Ressourcen.

Informationen zu CMEK für Speech-to-Text-Ressourcen

Die folgenden Bedingungen gelten, wenn mit der Speech-to-Text API ein neuer Schlüssel festgelegt wird:

  • Ressourcen, die zuvor mit dem ursprünglichen Schlüssel verschlüsselt wurden, bleiben mit diesem früheren Schlüssel verschlüsselt. Wenn eine Ressource mit einer Update*-Methode aktualisiert wird, wird sie mit dem neuen Schlüssel neu verschlüsselt.
  • Bisher waren nicht-CMEK-verschlüsselte Ressourcen unverschlüsselt. Wenn eine Ressource mit einer Update*-Methode aktualisiert wird, wird sie mit dem neuen Schlüssel neu verschlüsselt. Bei Vorgängen mit langer Ausführungszeit (z. B. Batcherkennung) wird der gespeicherte Vorgang mit dem neuen Schlüssel verschlüsselt, wenn die Verarbeitung noch nicht abgeschlossen ist.
  • Neu erstellte Ressourcen werden mit dem neu festgelegten Schlüssel verschlüsselt.

Wenn Sie einen Schlüssel mithilfe der Speech-to-Text API entfernen, werden neue Ressourcen ohne CMEK-Verschlüsselung erstellt. Vorhandene Ressourcen bleiben mit den Schlüsseln verschlüsselt, mit denen sie zuvor verschlüsselt wurden. Wenn eine Ressource mit einer Update*-Methode aktualisiert wird, wird sie mit der von Google verwalteten Standardverschlüsselung neu verschlüsselt. Bei Vorgängen mit langer Ausführungszeit (z. B. Batcherkennung) wird der gespeicherte Vorgang mit der Standardverschlüsselung von Google neu verschlüsselt, wenn die Verarbeitung noch nicht abgeschlossen ist.

Der Speicherort des Cloud KMS-Schlüssels, der zum Verschlüsseln von Speech-to-Text-Ressourcen verwendet wird, muss mit dem Speech-to-Text-Endpunkt übereinstimmen. Weitere Informationen zu Speech-to-Text-Standorten finden Sie unter Speech-to-Text-Standorte. Weitere Informationen zu Cloud KMS-Standorten finden Sie unter Cloud KMS-Standorte.

CMEK-unterstützte Ressourcen

Im Folgenden finden Sie die aktuellen Speech-to-Text-Ressourcen, die von CMEK abgedeckt werden:

Ressource Verschlüsseltes Material Links zur Dokumentation
Erkennungssystem
  • Der Sprachcode in der Erkennungskonfiguration.
  • Inline- und Referenzanpassungsressourcen
PhraseSet
  • Wortgruppen im Wortgruppensatz.
CustomClass
  • Klassenelemente in der benutzerdefinierten Klasse.
Vorgang
  • Die ursprüngliche Anfrage, die den Vorgang ausgelöst hat.
  • Die Antwort der Methode, die den Vorgang ausgelöst hat.
Artefakte der Batcherkennung
  • Während der Transkription verwendete Anpassungsressourcen.
  • Die akkumulierten Transkriptergebnisse.
  • Für die Transkription erforderliche Audioartefakte.

Nächste Schritte